Злоумышленники взломали аккаунт разработчика на NPM и внедрили вредоносный код в широко используемые библиотеки – chalk, strip‑ansi и color‑convert. Зараженные пакеты скачивают более миллиарда раз в неделю, что поставило под удар пользователей и софт. Вредонос изменяет адрес получателя при ончейн операции, перенаправляя средства хакерам. Вплоть до уточнения суммы утечек – менее $50 – атака получила широкую огласку как крупнейший инцидент в цепочке поставок.
Масштаб взлома и механизм атаки
Злоумышленники отправили фишинговые письма, маскирующиеся под NPM‑помощь. Получив доступ к аккаунту разработчика через поддельную страницу для обновления двухфакторной аутентификации, они внедрили вредоносные обновления.
Исследователь Aikido Security Чарли Эриксен (Charlie Eriksen) отметил, что атака затронула несколько уровней – модификация UI, API‑вызовов и поведения приложений, показывая серьезность масштаба.
CTO Ledger Шарль Гийемет (Charles Guillemet) предупредил, что скомпрометированные пакеты скачивают более $1 млрд раз, что угрожает всей экосистеме JavaScript. Вредоносный клиппер может перейти в активные приложения и изменять адрес с возможностью перехвата криптовалюты при подтверждении транзакции.
Пользователям кошельков стоит проявить осторожность, особенно если они используют встроенные web-интерфейсы. Есть вероятность мошеннических операций, даже если пользователь никуда не вводил данные вручную.
Потери на данный момент
По данным исследователей Security Alliance и эксперта SEAL (Samczsun), хакерам удалось украсть менее $50. В частности, злоумышленники получили только $0,05 в ETH и около $20 в мемкоинах, включая Andy, BRETT, DORK и другие. Это подтверждает, что атака была масштабной, но неэффективной.
Реакция рынка и отзывы лидеров отрасли
Платформы Ledger и MetaMask заявили, что их кошельки безопасны благодаря многоуровневой защите. Phantom, Uniswap, Aerodrome, Blast, Blockstream Jade и Revoke.cash подтвердили, что используют безопасные версии библиотек.
Основатель DefiLlama (0xngmi) предупредил, что наибольший риск несут проекты, обновившие зависимости после атаки. Пользователи должны внимательно проверять адреса и по возможности воздержаться от использования сервисов до устранения угрозы.
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.